Zsarolóvírus-támadás ért egy nagy angolszász egészségügyi szolgáltatót

Szeptember végén napokig cikkezett a szaksajtó a Universal Health Services nevű, az USA-ban és Nagy-Britanniában szolgáltató egészségügyi szervezet rendszereit érte súlyos ransomware-támadás, aminek következtében a több, mint 400 egészségügyi szolgáltató központot működtető cég számos rendszerét kellett leállítaniuk - egyes források szerint a telefonokon kívül mindent elvesztettek. Az első hírek arról szóltak, hogy a Ryuk néven ismert zsarolóvírus jutott be az UHS hálózatába.

Az incidens részleteiről az alábbi cikkekben lehet olvasni:

SecurityMagazin.com
SecurityWeek.com
HotForSecurity (BitDefender blog)
The Register
CyberScoop

Ransomware-támadás francia tengeri szállítmányozó cég ellen

Szintén szeptember végén érkezett hír arról, hogy az EternalBlue sérülékenységet kihasználó 2017-es és a 2018-ban a kínai Cosco Shipping rendszereit ért támadások után ismét egy tengeri szállítmányozó vállalatot, ezúttal a francia logisztikai óriás, a CMA CGM S.A. egyes rendszerei szenvedtek el ransomware-támadást. Egyes források szerint ebben az esetben (hasonlóan az áprilisi, portugál EDP elleni támadáshoz) a Ragnar Locker ransomware áll az incidens hátterében.

Az incidensről bővebben a Lloyd's List Maritime Intelligence weboldalán lehet olvasni.

Sérülékenység Moxa eszközökben

Az amerikai NSA egy sérülékenységről közölt információkat a Moxa-val, ami a gyártó EDR-810-es sorozatú ipari routereinek 5.6-os és korábbi firmware-verzióit érinti.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységről további információkat a Moxa publikációja tartalmaz.

B&R Automation rendszerek sérülékenységei

Nikolay Sokolik és Hay Mizrachi, az OTORIO munkatársai összesen hat sérülékenységet találtak a B&R Automation alábbi rendszereiben:

- SiteManager minden, v9.2.620236042-nél korábbi verziója;
- GateManager 4260 és 9250 minden, v9.0.20262-nél korábbi verziója;
- GateManager 8250 minden, v9.2.620236042-nél korábbi verziója.

A gyártó a hibákat az érintett termékek legújabb verzióiban javította. A sérülékenységek részleteit az ICS-CERT bejelentésében lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-20-273-03

Yokogawa WideField sérülékenység

A Parity Dynamics egy sérülékenységet fedezett fel a Yokogawa WideField3 nevű, FA-M3 PLC-inek programozásához használható szoftverének R1.01-től R4.03-ig terjedő verzióiban.

A gyártó a hibát az R.04-es verzióban javította. A sérülékenységgel kapcsolatban további információkat az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-20-273-02

Sérülékenységek MB Connect line rendszerekben

Alik Koldobsky, Ofir Manzur, Hay Mizrachi, Nikolay Sokolik és Haviv Vaizman, az OTORIO munkatársai négy sérülékenységet azonosítottak az MB Connect line alábbi rendszereiben:

- mymbCONNECT24 v2.6.1 és korábbi verziói;
- mbCONNECT24 v2.6.1 és korábbi verziói.

A gyártó a hibákat az érintett termékek 2.6.2-es és újabb verzióiban javította. A sérülékenységekről bővebb információkat az ICS-CERT publikációja tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-20-273-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A múlt héten jelentek meg hírek arról, hogy ransomware-támadás érte a Luxottica nevű gyártót. Maga a cégnév valószínűleg nem sokaknak ismerős (nekem sem volt az), de a Luxottica tervez és gyártó számos világmárkát a szemüvegek (és napszemüvegek) terén, sok egyéb mellett pl. a Ray-Ban-t, de gyártanak a Giorgio Armani, Burberry, Versace, Dolce and Gabbana számára is.

A rendelkezésre álló informácók alapján egyelőre nem lehet megmondani, hogy a Luxottica termelésirányítási rendszereit érintette-e az incidens, az viszont biztos, hogy szeptember 21-én a második műszakban dolgozó munkásaikat SMS-ben értesítették arról, hogy a műszakot felfüggesztették.

Egyes források szerint a támadók egy Citrix eszköz tavaly publikált és nem patch-elt sérülékenységét kihasználva tudták bejuttatni a zsarolóvírust a cég hálózatába.

Az idei év egyértelműen a különböző ipari szervezetek (elsősorban a különböző, termelésirányítási rendszereket használó vállalatok) elleni kibertámadások (döntő többségében zsarolóvírus-támadások) évének látszik. Évekkel ezelőtt, az első komolyabb ransomware-támadások után már voltak biztonsági szakemberek, akik számítottak erre a tendenciára, most úgy tűnik, igazuk lett, csak azt nem találták el, milyen gyorsan kezdenek ipari szervezeteket célba venni a támadók.

GE Digital APM Classic rendszerek sérülékenységei

Guido Marilli, az Accenture Security munkatársa két sérülékenységet jelentett a GE Digital-nak, amik a gyártó APM Classic 4.4 és korábbi verzióit érintik.

A gyártó a hibákat a 4.5-ös verzióban javította. A sérülékenységekről további információkat az ICS-CERT publikációjában lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-20-266-01

Sérülékenység Cisco ipari routerekben

A Cisco publikációja szerint egy sérülékenységet találtak az alábbi, ipari környezetekbe szánt hálózati eszközeikben:

- 807 Industrial ISR eszközök;
- 809 Industrial ISR eszközök;
- 829 Industrial ISR eszközök;
- CGR1000 router-ek.

A gyártó már elérhetővé tette a hibát javító újabb firmware-verziót. A sérülékenységről bővebben a Cisco weboldalán lehet olvasni.

Sérülékenység GE ipari hálózati eszközökben

Az IOActive egy sérülékenységről közöl információkat a GE-vel, ami az alábbi, ipari környezetekben használt hálózati eszközeiket érinti:

- S2020 összes, 07A06-nál korábbi firmware-verziója;
- S2024 összes, 07A06-nál korábbi firmware-verziója.

A hibát a gyártó a 07A06 és későbbi firmware-verziókban javította. A sérülékenységgel kapcsolatban részleteket az ICS-CERT bejelentése tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-20-266-02

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Nagyjából két hete láttak napvilágot az első hírek arról a düsseldorfi egyetemi kórház elleni ransomware-támadásról, aminek az eredménye egy beteg halála lett. Sokat gondolkodtam azon, hogy érdemes-e erről írnom, mert már az első hírekből is le lehetett szűrni, hogy a tragédia közvetlen oka nem a ransomware-támadás volt (a zsarolóvírus nem egy egészségügyi folyamatirányító rendszert tett használhatatlanná, hanem a kórház IT rendszereinek egy jelentős részét érintette). Az újabb hírek már arról is szólnak, hogy a német rendőrség gondatlanságból elkövetett emberölésként kezeli ezt a zsarolóvírus-támadást.

Ami miatt végül mégis a blogposzt megírása mellett döntöttem, az az, hogy a tényekből az is világosan látszik, hogy a kritikus infrastruktúrák elleni kibertámadások (gyakorlatilag mindegy, hogy milyen jellegű kibertámadásokról beszélünk) közvetve vagy közvetlenül safety-incidenseket képesek generálni és ahogy egyre nő az ilyen támadások száma, egyre inkább nő a hasonló, emberéleteket követelő incidensek esélye is. A kérdés igazán már csak az, hogy a ransomware-eket terjesztő támadók maradnak-e a viszonylag könnyű célpontot jelentő IT rendszereket vagy megpróbálják célba venni a kritikus infrastruktúrák legfontosabb (gyakran folyamatirányításért) felelős rendszereit is?

Philips orvostechnikai rendszerek sérülékenységei

A Northridge Hospital Medical Center öt sérülékenységet talált a Philips Clinical Collaboration Platform nevű, HMI adatmegjelenítő rendszerének 12.2.1-es és korábbi verzióiban.

A gyártó a hibákat a 2020 júniusában kiadott új verziókban javította. A sérülékenységek részleteiről az ICS-CERT publikációjából lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsma-20-261-01

Sérülékenység Advantech WebAccess rendszerekben

Mat Powell, a ZDI munkatársa egy sérülékenységet jelentett a DHS CISA-nak, ami az Advantech HMI platformjának, a WebAccess Node-nak 9.0.1-nél korábbi verzióit érinti.

A gyártó a hibát a 9.0.1-es verzióban javította. A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-20-261-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Nemrég találtam rá a Belden 8 részes, ingyenesen (egy regisztráció után) elérhető, ICS biztonsági webinar-sorozatára.

Az átlagosan egy órás előadások az ipari folyamatirányítás változatos területeit mutatják be, az általánosabb témáktól (mint pl. az OT hálózatok biztonsági problémáira adható válaszok), a valós idejű IIoT hálózatok biztonsági kérdésein keresztül a vasúti jelzőberendezések időkritikus hálózati kommunikációjáig. Ezeken felül számos további webinar és esettanulmány is elérhető a Belden weboldalán.

Sérülékenységek Siemens SIMATIC rendszerekben

A Siemens három sérülékenységről közölt információkat a DHS CISA-val, amik a SIMATIC RTLS Locating Manager termékük minden, v2.10.2-nél korábbi verzióját érintik.

A gyártó a hibákat a v2.10.2-es verzióban javította. A sérülékenységgel kapcsolatos részleteket a Siemens ProductCERT és az ICS-CERT publikációiban lehet megtalálni.

Siemens S7 berendezések sérülékenysége

Hyunguk Yoo, a New Orleans-i Egyetem és Irfan Ahmed valamint Adeen Ayub, a Virginia Commonwealth Egyetem munkatársai egy sérülékenységet találtak a Siemens alábbi, S7-es termékcsaládjába tartozó rendszerekben:

- SIMATIC S7-300 CPU család (beleértve a kapcsolód ET200 CPU-kat és a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-400 CPU family család (beleértve a SIPLUS változatokat is) minden verziója.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenység részleteiről a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet olvasni.

Sérülékenység Siemens licenc-kezelő alkalmazásokban

A német Bundesamt für Sicherheit in der Informationstechnik (BSI) egy sérülékenységet jelentett a Siemens-nek, ami a License Management Utility nevű licenc-kezelő megoldásuk v2.4-esnél régebbi verzióit érinti.

A gyártó a hibát a v2.4-es verzióban javította. A sérülékenységgel kapcsolatos további információkat a Siemens ProductCERT és az ICS-CERT weboldalain lehet elérni.

Siemens Spectrum Power sérülékenységek

Can Demirel, a Cyberwise munkatársa két sérülékenységet azonosított a Siemens Spectrum Power nevű SCADA rendszerének v4.70 SP8-nál korábbi verzióiban.

A gyártó a hibát javító új verziót és kockázatcsökkentő intézkedésekre vonatkozó, valamint konfigurációs javaslatokat tett közzé. A sérülékenységekről a Siemens ProductCERT és az ICS-CERT publikáció tartalmaznak további részleteket.

Sérülékenységek Siemens Polarion Subversion kliensekben

Li Yifan két sérülékenységet jelentett a Siemens-nek, amik a gyártó Polarion Subversion webes kliensének minden verzióját érintik.

A gyártó közlése szerint a shareware módon elérhetővé tett termékük támogatása már megszűnt, így javítás sem várható a most publikált hibákhoz. A sérülékenységekről további részleteket a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet találni.

Siemens ipari termékek sérülékenysége

Alyssa Milburn, Hany Ragab, Kaveh Razavi, Herbert Bos és Cristiano Giuffrida, a VUSec csoport tagjai egy sérülékenységet jelentettek az Intel-nek, ami a Siemens alábbi, ipari környezetekben használt termékeit érinti:

- SIMATIC Field PG M4 minden verziója;
- SIMATIC Field PG M5 minden verziója;
- SIMATIC Field PG M6 minden verziója;
- SIMATIC IPC3000 SMART minden verziója;
- SIMATIC IPC347E minden verziója;
- SIMATIC IPC427D (a SIPLUS változatokat is beleértve) minden verziója;
- SIMATIC IPC427E (a SIPLUS változatokat is beleértve) minden verziója;
- SIMATIC IPC477D minden verziója;
- SIMATIC IPC477E minden verziója;
- SIMATIC IPC477E Pro minden verziója;
- SIMATIC IPC527G minden verziója;
- SIMATIC IPC547E minden verziója;
- SIMATIC IPC547G minden verziója;
- SIMATIC IPC627D minden verziója;
- SIMATIC IPC627E minden verziója;
- SIMATIC IPC647D minden verziója;
- SIMATIC IPC647E minden verziója;
- SIMATIC IPC677D minden verziója;
- SIMATIC IPC677E minden verziója;
- SIMATIC IPC827D minden verziója;
- SIMATIC IPC847D minden verziója;
- SIMATIC IPC847E minden verziója;
- SIMATIC ITP1000 minden verziója;
- SIMOTION P320-4E minden verziója;
- SIMOTION P320-4S minden verziója;
- SINUMERIK 828D (PPU.4 / PPU1740) minden verziója;
- SINUMERIK 840D sl (NCU730.3B) minden verziója;
- SINUMERIK ONE (NCU1750 / NCU1760) minden verziója.

A gyártó jelenleg is dolgozik a hiba javításán. A sérülékenység részleteiről a Siemens ProductCERT és az ICS-CERT weboldalain lehet olvasni.

Sérülékenységek Siemens SIMATIC HMI-okban

Joseph Gardiner, a Bristol-i Egyetem biztonsági kutatócsoportjának munkatársa két sérülékenységet fedezett fel a Siemens SIMATIC HMI-ok alábbi verzióiban:

- Második generációs SIMATIC HMI Basic panelek (a SIPLUS változatokat is beleértve) 14-es és újabb valamint az XX verziónál korábbi verziók;
- SIMATIC HMI Comfort panelek (a SIPLUS változatokat is beleértve) minden verziója;
- SIMATIC HMI Mobile panelek minden verziója;
- SIMATIC HMI United Comfort panelek minden verziója.

A gyártó dolgozik a hibajavításokat tartalmazó új verziókat és addig is kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekkel kapcsolatos bővebb információkat a Siemens ProductCERT és az ICS-CERT publikációiban lehet megtalálni.

Siemens Siveillance videó kliens sérülékenység

A Siemens ProductCERT egy sérülékenységről közölt információkat a DHS CISA-val, ami Siveillance videó kliensük minden verzióját érinti.

A hibával kapcsolatban a gyártó kiadott egy patch-et és kockázatcsökkentő intézkedésekre vonatkozó ajánlásokat tett közzé. A sérülékenység részleteit a Siemens ProductCERT és az ICS-CERT bejelentéseiben lehet elérni.

Sérülékenység Wibu-Systems rendszerekben (és azokat tartalmazó Siemens termékekben)

Sharon Brizinov és Tal Keren, a Claroty munkatársai hat sérülékenységet jelentettek a DHS CISA-nak, amik a Wibu-Systems CodeMeter Runtime, egy licensz menedzser alkalmazás minden verzióját érinti.

Ezt a licensz menedzsert az alábbi Siemens rendszerekben is használják:

- Information Server 2019 SP1 és későbbi verziók;
- Process Historian (beleértve a Process Historian OPCUA Server-t is) 2019 és későbbi verziói;
- SIMATIC PCS neo minden verziója;
- SIMATIC WinCC OA V3.17;
- SIMIT Simulation Platform V10.0 és későbbi verziói;
- SINEC INS minden verziója;
- SINEMA Remote Connect minden verziója;
- SPPA-S2000 (S7) V3.04-es és V3.06-os verziói;
- SPPA-S3000 V3.04-es és V3.06-os verziói;
- SPPA-T3000 R8.2 SP2.

A gyártó a hibákkal kapcsolatban a CodeMeter Runtime legújabb verziójának használatát és kockázatcsökkentő intézkedések alkalmazását javasolja. Egyes Siemens termékekhez szintén elérhetőek már javítások.

A CodeMeter Runtime sérülékenységeivel kapcsolatos részleteket az ICS-CERT bejelentésében, a Siemens termékekkel kapcsolatos további információkat pedig a Siemens ProductCERT weboldalán lehet megtalálni.

HMS Networks rendszerek sérülékenysége

Parth Srivastava , a Protiviti India Member Private Limited munkatársa egy sérülékenységet jelentett az HMS Networks-nek, ami a Ewon termékcsaládjuk Flexy és Cosy termékeinek 14.1-nél korábbi változatait érinti.

A gyártó a hibával kapcsolatban a legújabb elérhető firmware-verzióra történő frissítést és kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységgel kapcsolatban további részleteket az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-20-254-03

Sérülékenység FATEK Automation rendszerekben

Natnael Samson, a ZDI-vel együttműködve egy sérülékenységről közölt információkat a DHS CISA-val, ami a FATEK Automation PLC WinProladder 3.28-as és korábbi verzióit érinti.

A gyártó nem reatált a CISA megkeresésére, így jelenleg nincs információ a hiba javításáról. A sérülékenység részleteiről az ICS-CERT publikációjából lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsa-20-254-02

Sérülékenység AVEVA rendszerekben

Yuri Kramarz, a Cisco Talos munkatársa egy SQL injection sérülékenységet talált az AVEVA Enterprise Data Management Web v2019 és korábbi verzióiban.

A gyártó a hibát az Enterprise Data Management Web v2019 SP1 verzióban javította. A sérülékenységről további információkat az Aveva és az ICS-CERT bejelentéseiben lehet találni.

Sérülékenységek Philips orvostecnikai rendszerekben

Julian Suleder, Nils Emmerich és Birk Kauer, az ERNW Research GmbH, Dr. Oliver Matula, az ERNW Enno és a Rey Netzwerke GmbH munkatársai nyolc sérülékenységről osztottak meg információkat a Bundesamt für Sicherheit in der Informationstechnik (BSI) munkatársaival a ManiMed (Manipulation of medical devices) projekt keretében. A sérülékenységek az alábbi Philips orvostecnikai rendszereket érinti:

- Patient Information Center iX (PICiX) B.02, C.02 és C.03 verziói;
- PerformanceBridge Focal Point A.01 verziója;
- IntelliVue betegmonitorok MX100, MX400-MX850 és MP2-MP90 típusok N és korábbi verziói;
- IntelliVue X3 és X2 típusok N és korábbi verziói.

A gyártó a hibákat várhatóan 2020 végén, 2021-ben és 2023-ban fogja javítani. A sérülékenységek részleteiről az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsma-20-254-01

Sérülékenységek Schneider Electric SCADAPack rendszerekben

Amir Preminger, a Claroty munkatársa öt sérülékenységet talált a Schneider Electric alábbi rendszereiben:

- SCADAPack 7x Remote Connect V3.6.3.574 és korábbi verziói;
- SCADAPack x70 Security Administrator V1.2.0 és korábbi verziói.

A gyártó a hibákat javító új verziót már elérhetővé tette. A sérülékenységekről részleteket a Schneider Electric publikációjában lehet megtalálni.

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Szerdán napközben láttak napvilágot az első hírek arról, hogy a Netwalker ransomware-támadás érte a K-Electric nevű, a Pakisztán legnépesebb városának, Karacsinak a villamosenergia-ellátásáért felelős vállalatát.

A hírek szerint a támadás első jeleit szeptember 7-én tapasztalták, ekkor a K-Electric ügyfelei már nem fértek hozzá a cég weboldalain a szolgáltatások használatához szükséges felhasználói fiókjaikhoz.

Egyelőre a hírekben nincs említés arról, hogy az incidens érintené a K-Electric ICS rendszereit, de a Ransom Leak szerint belső szoltáltatások érintettek.

Részleteket az alábbi forrásokban lehet olvasni:

SecurityAffairs.co
BleepingComputer.com
Times of Islamabad
Tripwire

Mitsubishi Electric rendszerek sérülékenysége

Ta-Lun Yen, a TrendMicro IoT/ICS kutatólaborjának, a TXOne-nak a munkatársa egy sérülékenységet fedezett fel, ami a Mitsubishi Electric termékpalettájának 57 különböző tagját érinti (pontos listát az ICS-CERT alábbi hivatkozott bejelentése tartalmaz).

A gyártó a hibát néhány érintett termékében javította és kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenység részleteit az ICS-CERT publikációja tartalmazza: https://us-cert.cisa.gov/ics/advisories/icsa-20-245-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.